Thinkpoint entfernung noch möglich?

Lummerknecht · 09.11.2010, 12:11

Hallo erstmal,

Habe folgenden Fall:
- Jemand hat auf dem Familienrechner Thinkpoint installiert/ausgeführt(unbewusst oder bewusst weis ich nicht)
- Es wurde ein Fullscan durchgeführt
- Habe Avira AntiVir durchlaufen lassen:
-> explorer.exe und andere infizierte Dateien gefunden
-> Dateien lassen sich nicht entfernen/verschieben
- Eine wininit.exe läuft im Taskmanager mit die sich nicht ohne sofortiges Herunterfahren schließen lässt

Ich habe bereits folgendes gemacht/gelöscht:
- hotfix.exe gelöscht
- beiliegende Dateien von hotfix die lose im Ordner lagen gelöscht
- Installation der benötigten Tools via Load.exe
- Programme bis TFC installiert

Resultat:
- PC immernoch geblockt durch schwarzen Screen
- Programme können teilweise über taskmanager.exe ausgeführt werden
- Bei der Installation von TFC entsteht ein Bluescreen und alles beginnt von vorne

Ich hoffe mal alles ist vernünftig von mir beschrieben wurde und mir geholfen werden könnte.

Zur behandlung steht evtl. noch mein eigener PC zur verfügung mit einem CD Brenner

Gruß
Pierre

Lummerknecht · 09.11.2010, 12:57

Ich glaube ich kenne auch den Ursprung von Thinkpoint

markusg · 09.11.2010, 14:47

hast du den link für mich? wenn ja als persönliche nachicht.
download:
Active@ ISO Burner. Data CD DVD burning software. Write ISO image to CD,DVD,CD-RW,CDR,DVD-RW.
• Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
Starte dein System neu und boote von der CD die du gerade erstellt hast.
Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten,
http://www.trojaner-board.de/81857-c...cd-booten.html
• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs

Lummerknecht · 09.11.2010, 16:32

Ich muss nochmal einen Scan machen. OTL hat die falsche Platte gescannt sehe ich.

markusg · 09.11.2010, 16:38

starte den pc mal in den abgesicherten modus ohne netzwerk.
an deinem zweiten nicht infizierten rechner lade combofix.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
kopiere es auf den infizierten rechner und führe es, falls es funktioniert, aus.
log posten.

Lummerknecht · 09.11.2010, 17:35

ComboFix konnte auf den infizierten Rechner ausgeführt werden und führte zu folgenden:
-MSG: MBR infiziert
-MSG: Rootkitaktivität festgestellt
-ComboFix führt Neustart aus
-Beim Hochfahren Bluescreen
-Erneutes Hochfahren im abgesicherten Modus
-ComboFix führt fort
-ComboFix startet Rechner neu nach entfernung von infizierten Dateinen
-Rechner scheint wieder normalen zustand erreicht zu haben

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-11-07.A2 - FlexxicE 09.11.2010  17:21:05.1.2 - x86 MINIMAL
Microsoft Windows 7 Ultimate   6.1.7600.0.1252.49.1031.18.1918.1460 [GMT 1:00]
ausgeführt von:: c:\users\FlexxicE\Downloads\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Public\Documents\Server\admin.txt
c:\windows\system32\dhaoilc0xg.dll
c:\windows\system32\qc0bhuo3.dll
c:\windows\system32\spool\prtprocs\w32x86\BiCProNT.dll
c:\windows\system32\spool\prtprocs\w32x86\BiMProNT.dll
c:\windows\system32\vbzlib1.dll

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe wurde wiederhergestellt 

Infizierte Kopie von c:\windows\System32\wininit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe wurde wiederhergestellt 

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe wurde wiederhergestellt
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
(((((((((((((((((((((((   Dateien erstellt von 2010-10-09 bis 2010-11-09  ))))))))))))))))))))))))))))))
.

2010-11-09 13:58 . 2010-11-09 13:58	--------	d-----w-	c:\program files\LSoft Technologies
2010-11-09 10:39 . 2010-11-09 10:39	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\Malwarebytes
2010-11-09 10:38 . 2010-04-29 14:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-09 10:38 . 2010-11-09 10:38	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-11-09 10:38 . 2010-11-09 10:38	--------	d-----w-	c:\programdata\Malwarebytes
2010-11-09 10:38 . 2010-04-29 14:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-09 09:35 . 2010-10-07 23:21	6146896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{FEBA2990-6249-4D33-AEE0-0B3992B6A9BA}\mpengine.dll
2010-11-07 08:39 . 2010-11-07 08:39	--------	d-----w-	c:\program files\Xvid
2010-11-07 08:39 . 2008-12-13 19:01	77824	----a-w-	c:\windows\system32\xvid.ax
2010-11-07 08:39 . 2008-12-04 20:46	180224	----a-w-	c:\windows\system32\xvidvfw.dll
2010-11-07 08:39 . 2008-12-04 20:42	815104	----a-w-	c:\windows\system32\xvidcore.dll
2010-11-07 08:39 . 2010-11-07 08:39	--------	d-----w-	c:\program files\FDRLab
2010-11-06 13:04 . 2010-11-06 13:04	--------	d-----w-	c:\programdata\DAEMON Tools Lite
2010-11-06 10:22 . 2010-11-06 10:22	--------	d-----w-	c:\users\FlexxicE\AppData\Local\ashampoo
2010-11-06 10:22 . 2010-11-06 10:22	--------	d-----w-	c:\programdata\ashampoo
2010-11-06 10:22 . 2010-11-06 10:22	--------	d-----w-	c:\program files\Ashampoo
2010-11-05 08:03 . 2010-11-05 08:03	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\.minecraft
2010-11-03 06:34 . 2010-11-03 06:35	--------	d-----w-	c:\program files\iTunes
2010-11-03 06:34 . 2010-11-03 06:34	--------	d-----w-	c:\program files\iPod
2010-11-03 06:32 . 2010-11-03 06:32	--------	d-----w-	c:\program files\Bonjour
2010-11-01 19:56 . 2010-11-01 20:15	--------	d-----w-	c:\users\FlexxicE\AppData\Local\Ares
2010-11-01 19:19 . 2010-11-01 19:19	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\FRITZ!
2010-11-01 19:19 . 2010-11-01 19:19	--------	d-----w-	c:\users\FlexxicE\AppData\Local\FRITZ!
2010-11-01 18:36 . 2010-11-01 18:36	--------	d-----w-	c:\program files\FRITZ!DSL
2010-11-01 18:36 . 2010-11-01 18:36	--------	d-----w-	c:\program files\Common Files\AVM
2010-10-31 16:14 . 2010-10-31 16:14	--------	d-----w-	c:\program files\AutocompletePro
2010-10-31 16:14 . 2010-10-31 16:14	--------	d-----w-	c:\program files\WinPcap
2010-10-31 16:14 . 2010-10-31 16:14	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\Neoretix
2010-10-31 16:08 . 2010-09-14 13:34	153600	----a-w-	c:\windows\system32\WSContextMenu.dll
2010-10-31 16:08 . 2010-09-14 13:34	892928	----a-w-	c:\windows\system32\iconv.dll
2010-10-31 16:08 . 2010-09-14 13:34	675840	----a-w-	c:\windows\system32\ac3filter.ax
2010-10-31 16:08 . 2010-11-01 18:10	--------	d-----w-	c:\program files\Daniusoft
2010-10-31 15:42 . 2010-11-07 08:15	--------	d-----w-	c:\program files\DownloadToolz
2010-10-31 15:20 . 2010-10-31 15:41	--------	d-----w-	c:\program files\DsNET Corp
2010-10-31 15:12 . 2010-10-31 15:40	--------	d-----w-	c:\programdata\STOIK
2010-10-31 15:12 . 2002-12-12 00:14	83456	------w-	c:\windows\system32\l3codecx.ax
2010-10-31 09:05 . 2010-10-31 09:05	307968	----a-w-	c:\windows\system32\TuneUpDefragService.exe
2010-10-31 09:05 . 2008-02-27 12:15	28416	----a-w-	c:\windows\system32\uxtuneup.dll
2010-10-31 09:05 . 2008-02-27 12:15	16640	----a-w-	c:\windows\system32\authuitu.dll
2010-10-31 09:04 . 2010-10-31 09:04	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\TuneUp Software
2010-10-31 09:04 . 2010-10-31 09:04	--------	d-----w-	c:\programdata\TuneUp Software
2010-10-31 09:03 . 2010-10-31 09:05	--------	d-----w-	c:\program files\TuneUp Utilities 2008
2010-10-31 09:03 . 2010-11-01 18:35	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard
2010-10-30 10:47 . 2010-10-30 10:47	--------	d-----w-	c:\program files\ICQ-Banner-Remover
2010-10-29 12:35 . 2010-10-29 12:35	--------	d-----w-	c:\program files\ICQ6Toolbar
2010-10-29 12:35 . 2010-10-29 12:35	--------	d-----w-	c:\programdata\ICQ
2010-10-29 12:34 . 2010-10-29 12:34	--------	d-----w-	c:\users\FlexxicE\AppData\Local\AOL
2010-10-29 12:34 . 2010-10-29 12:36	--------	d-----w-	c:\program files\ICQ7.2
2010-10-29 09:42 . 2003-05-14 22:01	133376	----a-w-	c:\program files\Internet Explorer\Plugins\nppdf32.dll
2010-10-26 19:09 . 2010-08-04 06:18	641536	----a-w-	c:\windows\system32\CPFilters.dll
2010-10-26 19:09 . 2010-08-04 06:17	417792	----a-w-	c:\windows\system32\msdri.dll
2010-10-26 19:09 . 2010-08-04 06:15	204288	----a-w-	c:\windows\system32\MSNP.ax
2010-10-26 19:09 . 2010-08-04 06:15	199680	----a-w-	c:\windows\system32\mpg2splt.ax
2010-10-26 19:08 . 2010-07-13 05:22	26504	----a-w-	c:\windows\system32\drivers\Diskdump.sys
2010-10-26 01:54 . 2010-10-26 01:54	--------	d-----w-	c:\program files\Common Files\Adobe
2010-10-24 12:22 . 2010-10-24 12:22	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\Ashampoo
2010-10-23 21:01 . 2010-10-31 15:03	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\DVDVideoSoftIEHelpers
2010-10-23 21:00 . 2010-11-06 10:33	--------	d-----w-	c:\program files\Common Files\DVDVideoSoft
2010-10-23 21:00 . 2010-10-31 15:02	--------	d-----w-	c:\program files\DVDVideoSoft
2010-10-22 23:52 . 2010-10-22 23:52	--------	d-----w-	c:\windows\Sun
2010-10-22 04:23 . 2010-10-22 05:02	--------	d-----w-	C:\Intern (E)
2010-10-21 20:23 . 2010-11-04 14:51	--------	d-----w-	c:\users\FlexxicE\Neuer Ordner
2010-10-21 20:21 . 2010-11-04 19:52	--------	d-----w-	c:\users\FlexxicE\AppData\Local\Paint.NET
2010-10-21 20:19 . 2010-10-21 20:20	--------	d-----w-	c:\program files\Paint.NET
2010-10-20 21:01 . 2010-10-20 21:01	--------	d-----w-	c:\programdata\HP Product Assistant
2010-10-20 21:00 . 2010-10-20 21:00	--------	d-----w-	c:\program files\Common Files\HP
2010-10-17 23:26 . 2010-11-09 14:26	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\mIRC
2010-10-14 22:59 . 2010-10-14 23:04	--------	d-----w-	c:\program files\The KMPlayer
2010-10-14 19:43 . 2010-11-04 12:52	--------	d-----w-	c:\users\FlexxicE\AppData\Local\Apple Computer
2010-10-14 19:43 . 2010-10-20 20:26	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\Apple Computer
2010-10-14 19:43 . 2010-10-14 19:43	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-10-14 19:43 . 2009-05-18 11:17	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-14 19:43 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2010-10-14 19:42 . 2010-10-14 19:43	--------	d-----w-	c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-10-14 19:42 . 2010-10-14 19:42	--------	d-----w-	c:\programdata\Apple Computer
2010-10-14 19:42 . 2010-10-14 19:42	--------	d-----w-	c:\users\FlexxicE\AppData\Local\Apple
2010-10-14 19:42 . 2010-10-14 19:42	--------	d-----w-	c:\program files\Apple Software Update
2010-10-14 19:41 . 2010-11-03 06:34	--------	d-----w-	c:\program files\Common Files\Apple
2010-10-14 19:41 . 2010-10-14 19:41	--------	d-----w-	c:\programdata\Apple
2010-10-12 20:14 . 2010-05-05 06:46	363520	----a-w-	c:\windows\system32\StructuredQuery.dll
2010-10-12 15:56 . 2010-10-12 15:56	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\AdobeUM
2010-10-12 15:56 . 2010-10-12 15:56	--------	d-----w-	c:\users\FlexxicE\AppData\Local\Adobe
2010-10-11 15:39 . 2010-10-28 21:52	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\PhotoScape
2010-10-11 15:39 . 2010-10-11 15:41	--------	d-----w-	c:\users\FlexxicE\AppData\Local\Google
2010-10-11 15:39 . 2010-10-11 15:40	--------	d-----w-	c:\program files\Google
2010-10-11 15:39 . 2010-10-11 15:39	--------	d-----w-	c:\program files\PhotoScape
2010-10-11 14:48 . 1998-10-29 13:45	306688	----a-w-	c:\windows\IsUninst.exe
2010-10-11 14:47 . 1998-11-17 11:44	328704	----a-w-	c:\windows\IsUn0407.exe
2010-10-10 18:19 . 2010-11-04 15:20	--------	d-----w-	C:\WoW
2010-10-10 17:10 . 2010-10-10 17:10	--------	d-----w-	c:\programdata\HPSSUPPLY
2010-10-10 16:41 . 2007-05-23 19:22	89600	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\HPZPPLHN.DLL
2010-10-10 16:40 . 2010-10-10 16:40	--------	d-----w-	c:\programdata\Driver Whiz

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-04 07:38 . 2010-10-07 15:02	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-04 07:38 . 2010-10-07 15:02	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-10-19 09:41 . 2010-08-11 08:06	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-10-09 15:35 . 2010-10-09 15:36	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-10-07 19:38 . 2010-10-07 19:38	697328	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-09-08 10:17 . 2010-09-08 10:17	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-09-08 10:17 . 2010-09-08 10:17	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-08-21 05:32 . 2010-10-08 01:03	316928	----a-w-	c:\windows\system32\spoolsv.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\tbDVD1.dll" [2010-10-31 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-10-31 15:43	2735200	----a-w-	c:\program files\DVDVideoSoftTB\tbDVD1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\tbDVD1.dll" [2010-10-31 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\program files\DVDVideoSoftTB\tbDVD1.dll" [2010-10-31 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-08-24 247144]
"PPScheduler"="c:\program files\ScanSoft\PaperPort\PPScheduler.exe" [2006-05-05 98304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-03-04 311296]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2006-05-05 36864]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2006-05-05 40960]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
FRITZ!DSL Startcenter.lnk - c:\windows\Installer\{74A929E2-FBD8-4736-A84E-2ABBB2ABADF2}\Icon2457326B4.exe [2010-11-1 29184]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-11 135664]
R3 {34EC14F8-9D92-4B44-A87DE9B18B97CBE4};{34EC14F8-9D92-4B44-A87DE9B18B97CBE4};c:\windows\System32\svchost.exe [2009-07-14 20992]
R3 {9FD62ECE-849B-474B-9D2E7FFAAEE6A2C3};{9FD62ECE-849B-474B-9D2E7FFAAEE6A2C3};c:\windows\TEMP\9B3C.tmp [x]
R3 {D5AD5B5F-FC15-4A02-BB51E64CBDD4CED7};{D5AD5B5F-FC15-4A02-BB51E64CBDD4CED7};c:\windows\System32\svchost.exe [2009-07-14 20992]
R3 BthAvrcp;Bluetooth-AVRCP-Profil;c:\windows\system32\DRIVERS\BthAvrcp.sys [2009-08-13 22528]
R3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
R3 VSTHWICH;VSTHWICH;c:\windows\system32\DRIVERS\VSTICH3.SYS [2009-07-13 242176]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-10-07 697328]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-04 135336]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2010-09-06 247096]
S2 IGDCTRL;AVM IGD CTRL Service;c:\program files\FRITZ!DSL\IGDCTRL.EXE [2009-07-28 73528]
S2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2010-01-27 50704]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2010-08-24 92008]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - yjzwz

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
HPService	REG_MULTI_SZ   	HPSLPSVC
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
{D5AD5B5F-FC15-4A02-BB51E64CBDD4CED7}
{34EC14F8-9D92-4B44-A87DE9B18B97CBE4}

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A8D647C8-65AC-409F-B7B2-3C0FEE1A32F2}]
2010-02-16 17:02	114688	----a-w-	c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2010-11-09 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2010-10-31 08:58]

2010-11-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-11 15:39]

2010-11-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-11 15:39]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube Download - c:\users\FlexxicE\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\FlexxicE\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\FlexxicE\AppData\Roaming\Mozilla\Firefox\Profiles\2tqlmm08.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBook.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBookDB.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpNeoLogger.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSaturn.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSeymour.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartSelect.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartWebPrinting.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSWPOperation.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPLogging.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTC.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTL.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXREStub.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\plugins\nphpclipbook.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-FRITZ!protect - FwebProt.exe
ActiveSetup-ccc-core-static - msiexec



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{34EC14F8-9D92-4B44-A87DE9B18B97CBE4}]
"ServiceDll"="c:\users\FlexxicE\AppData\Local\Temp\2B6C.tmp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{9FD62ECE-849B-474B-9D2E7FFAAEE6A2C3}]
"ImagePath"="\??\c:\windows\TEMP\9B3C.tmp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{D5AD5B5F-FC15-4A02-BB51E64CBDD4CED7}]
"ServiceDll"="c:\users\FlexxicE\AppData\Local\Temp\2B6C.tmp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\yjzwz]

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\taskhost.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\conhost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-09  17:27:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-09 16:27

Vor Suchlauf: 8 Verzeichnis(se), 937.182.212.096 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 937.177.714.688 Bytes frei

- - End Of File - - B8EE2DD12F979A9D77278BFD6517B3F7

--- --- ---

markusg · 09.11.2010, 17:50

start programme zubehör editor, kopiere rein:

Killall::
Rootkit::
c:\windows\system32\drivers\yjzwz.sys
Driver::
yjzwz

Datei speichern unter, ort dort wo sich combofix befindet, typ, alle dateien, name cfscript.txt
schalte alle programme, auch avira guard ab, ziehe cfscript auf combofix, programm startet, log posten.

öffne dann mein computer, c: qoobox, rechtsklick auf quarantain und zu quarantain.rar oder zip hinzufügen, archiv hochladen.
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html

Lummerknecht · 09.11.2010, 18:18

Datei habe ich nun via UploadChannel hochgeladen, doch wurde mir beim .rar Archive erstellen folgendes angezeigt:

! Quarantine.zip: Konnte Quarantine\C\Windows\explorer.exe.vir nicht öffnen.
! Zugriff verweigert
! Quarantine.zip: Konnte Quarantine\C\Windows\System32\wininit.exe.vir nicht öffnen.
! Zugriff verweigert

Hier noch der CombatFix Log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-11-07.A2 - FlexxicE 09.11.2010  18:02:26.2.2 - x86
Microsoft Windows 7 Ultimate   6.1.7600.0.1252.49.1031.18.1918.1265 [GMT 1:00]
ausgeführt von:: c:\users\FlexxicE\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\FlexxicE\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_YJZWZ
-------\Service_yjzwz


(((((((((((((((((((((((   Dateien erstellt von 2010-10-09 bis 2010-11-09  ))))))))))))))))))))))))))))))
.

2010-11-09 17:07 . 2010-11-09 17:07	--------	d-----w-	C:\Device
2010-11-09 17:06 . 2010-11-09 17:06	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-11-09 16:24 . 2010-11-09 17:08	--------	d-----w-	c:\users\FlexxicE\AppData\Local\temp
2010-11-09 13:58 . 2010-11-09 13:58	--------	d-----w-	c:\program files\LSoft Technologies
2010-11-09 10:39 . 2010-11-09 10:39	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\Malwarebytes
2010-11-09 10:38 . 2010-04-29 14:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-09 10:38 . 2010-11-09 10:38	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-11-09 10:38 . 2010-11-09 10:38	--------	d-----w-	c:\programdata\Malwarebytes
2010-11-09 10:38 . 2010-04-29 14:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-09 09:35 . 2010-10-07 23:21	6146896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{FEBA2990-6249-4D33-AEE0-0B3992B6A9BA}\mpengine.dll
2010-11-08 22:21 . 2010-11-09 17:07	763904	----a-w-	c:\windows\system32\drivers\yjzwz.sys
2010-11-07 08:39 . 2010-11-07 08:39	--------	d-----w-	c:\program files\Xvid
2010-11-07 08:39 . 2008-12-13 19:01	77824	----a-w-	c:\windows\system32\xvid.ax
2010-11-07 08:39 . 2008-12-04 20:46	180224	----a-w-	c:\windows\system32\xvidvfw.dll
2010-11-07 08:39 . 2008-12-04 20:42	815104	----a-w-	c:\windows\system32\xvidcore.dll
2010-11-07 08:39 . 2010-11-07 08:39	--------	d-----w-	c:\program files\FDRLab
2010-11-06 13:04 . 2010-11-06 13:04	--------	d-----w-	c:\programdata\DAEMON Tools Lite
2010-11-06 10:22 . 2010-11-06 10:22	--------	d-----w-	c:\users\FlexxicE\AppData\Local\ashampoo
2010-11-06 10:22 . 2010-11-06 10:22	--------	d-----w-	c:\programdata\ashampoo
2010-11-06 10:22 . 2010-11-06 10:22	--------	d-----w-	c:\program files\Ashampoo
2010-11-05 08:03 . 2010-11-05 08:03	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\.minecraft
2010-11-03 06:34 . 2010-11-03 06:35	--------	d-----w-	c:\program files\iTunes
2010-11-03 06:34 . 2010-11-03 06:34	--------	d-----w-	c:\program files\iPod
2010-11-03 06:32 . 2010-11-03 06:32	--------	d-----w-	c:\program files\Bonjour
2010-11-01 19:56 . 2010-11-01 20:15	--------	d-----w-	c:\users\FlexxicE\AppData\Local\Ares
2010-11-01 19:19 . 2010-11-01 19:19	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\FRITZ!
2010-11-01 19:19 . 2010-11-01 19:19	--------	d-----w-	c:\users\FlexxicE\AppData\Local\FRITZ!
2010-11-01 18:36 . 2010-11-01 18:36	--------	d-----w-	c:\program files\FRITZ!DSL
2010-11-01 18:36 . 2010-11-01 18:36	--------	d-----w-	c:\program files\Common Files\AVM
2010-10-31 16:14 . 2010-10-31 16:14	--------	d-----w-	c:\program files\AutocompletePro
2010-10-31 16:14 . 2010-10-31 16:14	--------	d-----w-	c:\program files\WinPcap
2010-10-31 16:14 . 2010-10-31 16:14	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\Neoretix
2010-10-31 16:08 . 2010-09-14 13:34	153600	----a-w-	c:\windows\system32\WSContextMenu.dll
2010-10-31 16:08 . 2010-09-14 13:34	892928	----a-w-	c:\windows\system32\iconv.dll
2010-10-31 16:08 . 2010-09-14 13:34	675840	----a-w-	c:\windows\system32\ac3filter.ax
2010-10-31 16:08 . 2010-11-01 18:10	--------	d-----w-	c:\program files\Daniusoft
2010-10-31 15:42 . 2010-11-07 08:15	--------	d-----w-	c:\program files\DownloadToolz
2010-10-31 15:20 . 2010-10-31 15:41	--------	d-----w-	c:\program files\DsNET Corp
2010-10-31 15:12 . 2010-10-31 15:40	--------	d-----w-	c:\programdata\STOIK
2010-10-31 15:12 . 2002-12-12 00:14	83456	------w-	c:\windows\system32\l3codecx.ax
2010-10-31 09:05 . 2010-10-31 09:05	307968	----a-w-	c:\windows\system32\TuneUpDefragService.exe
2010-10-31 09:05 . 2008-02-27 12:15	28416	----a-w-	c:\windows\system32\uxtuneup.dll
2010-10-31 09:05 . 2008-02-27 12:15	16640	----a-w-	c:\windows\system32\authuitu.dll
2010-10-31 09:04 . 2010-10-31 09:04	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\TuneUp Software
2010-10-31 09:04 . 2010-10-31 09:04	--------	d-----w-	c:\programdata\TuneUp Software
2010-10-31 09:03 . 2010-10-31 09:05	--------	d-----w-	c:\program files\TuneUp Utilities 2008
2010-10-31 09:03 . 2010-11-01 18:35	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard
2010-10-30 10:47 . 2010-10-30 10:47	--------	d-----w-	c:\program files\ICQ-Banner-Remover
2010-10-29 12:35 . 2010-10-29 12:35	--------	d-----w-	c:\program files\ICQ6Toolbar
2010-10-29 12:35 . 2010-10-29 12:35	--------	d-----w-	c:\programdata\ICQ
2010-10-29 12:34 . 2010-10-29 12:34	--------	d-----w-	c:\users\FlexxicE\AppData\Local\AOL
2010-10-29 12:34 . 2010-10-29 12:36	--------	d-----w-	c:\program files\ICQ7.2
2010-10-29 09:42 . 2003-05-14 22:01	133376	----a-w-	c:\program files\Internet Explorer\Plugins\nppdf32.dll
2010-10-26 19:09 . 2010-08-04 06:18	641536	----a-w-	c:\windows\system32\CPFilters.dll
2010-10-26 19:09 . 2010-08-04 06:17	417792	----a-w-	c:\windows\system32\msdri.dll
2010-10-26 19:09 . 2010-08-04 06:15	204288	----a-w-	c:\windows\system32\MSNP.ax
2010-10-26 19:09 . 2010-08-04 06:15	199680	----a-w-	c:\windows\system32\mpg2splt.ax
2010-10-26 19:08 . 2010-07-13 05:22	26504	----a-w-	c:\windows\system32\drivers\Diskdump.sys
2010-10-26 01:54 . 2010-10-26 01:54	--------	d-----w-	c:\program files\Common Files\Adobe
2010-10-24 12:22 . 2010-10-24 12:22	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\Ashampoo
2010-10-23 21:01 . 2010-10-31 15:03	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\DVDVideoSoftIEHelpers
2010-10-23 21:00 . 2010-11-06 10:33	--------	d-----w-	c:\program files\Common Files\DVDVideoSoft
2010-10-23 21:00 . 2010-10-31 15:02	--------	d-----w-	c:\program files\DVDVideoSoft
2010-10-22 23:52 . 2010-10-22 23:52	--------	d-----w-	c:\windows\Sun
2010-10-22 04:23 . 2010-10-22 05:02	--------	d-----w-	C:\Intern (E)
2010-10-21 20:23 . 2010-11-04 14:51	--------	d-----w-	c:\users\FlexxicE\Neuer Ordner
2010-10-21 20:21 . 2010-11-04 19:52	--------	d-----w-	c:\users\FlexxicE\AppData\Local\Paint.NET
2010-10-21 20:19 . 2010-10-21 20:20	--------	d-----w-	c:\program files\Paint.NET
2010-10-20 21:01 . 2010-10-20 21:01	--------	d-----w-	c:\programdata\HP Product Assistant
2010-10-20 21:00 . 2010-10-20 21:00	--------	d-----w-	c:\program files\Common Files\HP
2010-10-17 23:26 . 2010-11-09 14:26	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\mIRC
2010-10-14 22:59 . 2010-10-14 23:04	--------	d-----w-	c:\program files\The KMPlayer
2010-10-14 19:43 . 2010-11-04 12:52	--------	d-----w-	c:\users\FlexxicE\AppData\Local\Apple Computer
2010-10-14 19:43 . 2010-10-20 20:26	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\Apple Computer
2010-10-14 19:43 . 2010-10-14 19:43	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-10-14 19:43 . 2009-05-18 11:17	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-14 19:43 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2010-10-14 19:42 . 2010-10-14 19:43	--------	d-----w-	c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-10-14 19:42 . 2010-10-14 19:42	--------	d-----w-	c:\programdata\Apple Computer
2010-10-14 19:42 . 2010-10-14 19:42	--------	d-----w-	c:\users\FlexxicE\AppData\Local\Apple
2010-10-14 19:42 . 2010-10-14 19:42	--------	d-----w-	c:\program files\Apple Software Update
2010-10-14 19:41 . 2010-11-03 06:34	--------	d-----w-	c:\program files\Common Files\Apple
2010-10-14 19:41 . 2010-10-14 19:41	--------	d-----w-	c:\programdata\Apple
2010-10-12 20:14 . 2010-05-05 06:46	363520	----a-w-	c:\windows\system32\StructuredQuery.dll
2010-10-12 15:56 . 2010-10-12 15:56	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\AdobeUM
2010-10-12 15:56 . 2010-10-12 15:56	--------	d-----w-	c:\users\FlexxicE\AppData\Local\Adobe
2010-10-11 15:39 . 2010-10-28 21:52	--------	d-----w-	c:\users\FlexxicE\AppData\Roaming\PhotoScape
2010-10-11 15:39 . 2010-10-11 15:41	--------	d-----w-	c:\users\FlexxicE\AppData\Local\Google
2010-10-11 15:39 . 2010-10-11 15:40	--------	d-----w-	c:\program files\Google
2010-10-11 15:39 . 2010-10-11 15:39	--------	d-----w-	c:\program files\PhotoScape
2010-10-11 14:48 . 1998-10-29 13:45	306688	----a-w-	c:\windows\IsUninst.exe
2010-10-11 14:47 . 1998-11-17 11:44	328704	----a-w-	c:\windows\IsUn0407.exe
2010-10-10 18:19 . 2010-11-04 15:20	--------	d-----w-	C:\WoW
2010-10-10 17:10 . 2010-10-10 17:10	--------	d-----w-	c:\programdata\HPSSUPPLY

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-04 07:38 . 2010-10-07 15:02	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-04 07:38 . 2010-10-07 15:02	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-10-19 09:41 . 2010-08-11 08:06	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-10-09 15:35 . 2010-10-09 15:36	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-10-07 19:38 . 2010-10-07 19:38	697328	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-09-08 10:17 . 2010-09-08 10:17	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-09-08 10:17 . 2010-09-08 10:17	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-08-21 05:32 . 2010-10-08 01:03	316928	----a-w-	c:\windows\system32\spoolsv.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\tbDVD1.dll" [2010-10-31 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-10-31 15:43	2735200	----a-w-	c:\program files\DVDVideoSoftTB\tbDVD1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\tbDVD1.dll" [2010-10-31 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\program files\DVDVideoSoftTB\tbDVD1.dll" [2010-10-31 2735200]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-08-24 247144]
"PPScheduler"="c:\program files\ScanSoft\PaperPort\PPScheduler.exe" [2006-05-05 98304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-03-04 311296]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2006-05-05 36864]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2006-05-05 40960]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
FRITZ!DSL Startcenter.lnk - c:\windows\Installer\{74A929E2-FBD8-4736-A84E-2ABBB2ABADF2}\Icon2457326B4.exe [2010-11-1 29184]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-11 135664]
R3 BthAvrcp;Bluetooth-AVRCP-Profil;c:\windows\system32\DRIVERS\BthAvrcp.sys [2009-08-13 22528]
R3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
R3 VSTHWICH;VSTHWICH;c:\windows\system32\DRIVERS\VSTICH3.SYS [2009-07-13 242176]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-10-07 697328]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-04 135336]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2010-09-06 247096]
S2 IGDCTRL;AVM IGD CTRL Service;c:\program files\FRITZ!DSL\IGDCTRL.EXE [2009-07-28 73528]
S2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2010-01-27 50704]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2010-08-24 92008]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
HPService	REG_MULTI_SZ   	HPSLPSVC
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
{D5AD5B5F-FC15-4A02-BB51E64CBDD4CED7}
{34EC14F8-9D92-4B44-A87DE9B18B97CBE4}

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A8D647C8-65AC-409F-B7B2-3C0FEE1A32F2}]
2010-02-16 17:02	114688	----a-w-	c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2010-11-09 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2010-10-31 08:58]

2010-11-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-11 15:39]

2010-11-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-11 15:39]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube Download - c:\users\FlexxicE\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\FlexxicE\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\FlexxicE\AppData\Roaming\Mozilla\Firefox\Profiles\2tqlmm08.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBook.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBookDB.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpNeoLogger.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSaturn.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSeymour.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartSelect.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartWebPrinting.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSWPOperation.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPLogging.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTC.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTL.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXREStub.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\plugins\nphpclipbook.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{34EC14F8-9D92-4B44-A87DE9B18B97CBE4}]
"ServiceDll"="c:\users\FlexxicE\AppData\Local\Temp\2B6C.tmp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{9FD62ECE-849B-474B-9D2E7FFAAEE6A2C3}]
"ImagePath"="\??\c:\windows\TEMP\9B3C.tmp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{D5AD5B5F-FC15-4A02-BB51E64CBDD4CED7}]
"ServiceDll"="c:\users\FlexxicE\AppData\Local\Temp\2B6C.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\conhost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-09  18:10:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-09 17:10
ComboFix2.txt  2010-11-09 16:27

Vor Suchlauf: 13 Verzeichnis(se), 937.003.732.992 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 936.847.171.584 Bytes frei

- - End Of File - - 6830081BFAA4874AF868C243B86AFAE5

--- --- ---

markusg · 09.11.2010, 18:21

öffne mal Malwarebytes und poste dein scan log.
machst du onlinebanking oder einkäufe?

Lummerknecht · 09.11.2010, 18:23

Auf diesen PC wird Onlinebanking betrieben.

Ich lasse ausserdem gerade Malewarebytes einen Fullscan für C ausführen

markusg · 09.11.2010, 18:29

hi,
dann rufe unbedingt die bank an, du hattest ein bootkit, dieses hatte die volle kontrolle über dein system und konnte alles auslesen und tun.
darin liegt auch das problem, ich kann nicht dafür garantieren das wir alle enderungen finden, die gemacht wurden, nur wirklich sicher gehen kanns du bei daten sichern, + neu aufsetzen, wenn du das nicht tust, bleibt ein risiko.
die entscheidung musst du treffen, aber bedenke das du mit deinem geld an diesem pc arbeitest.
wenn du formatierst, zeige ich dir wege auf, den pc besser zu schützen

Lummerknecht · 09.11.2010, 18:32

Also das Onlinebanking ist über HBCI geregelt mit .key Dateien auf einem USB-Stick.

Wie soll ich vorgehen?

markusg · 09.11.2010, 18:35

naja wie gesagt, um ganz sicher zu gehen solltest du neu aufsetzen.
tipps bekommst du natürlich und die entscheidung is dir überlassen.

Lummerknecht · 09.11.2010, 18:39

Bevor ich dann aber alles neu aufsetze, muss ich erst noch einen haufen an Datein sichern.

Kann ich für die Sicherung C partionieren und die relevanten Daten von C auf die neue Partion legen?

Bzw. wie kann ich sicher gehen das ich keine Trojaner etc. mitkopiere?

markusg · 09.11.2010, 18:42

also du kannst deine daten sichern, dann, wenn du fertig bist, sag bescheid und ich gebe dir weitere anweisungen. befor du dann auf dem neuen system auf die daten zugreifst, scanne die dann mit deinem antivirus programm.
aber wie gesagt, erst mal sichern.

Thinkpoint entfernung noch möglich?

Plagegeister aller Art und deren Bekämpfung: Thinkpoint entfernung noch möglich?